Yönetilen diskler için bekleyen çift şifrelemeyi etkinleştirme

1. Azure Portal’ında oturum açın.

2. Disk Şifreleme Kümelerini arayın ve seçin.

   

3. +Oluştur'u seçin.

4. Desteklenen bölgelerden birini seçin.

5. Şifreleme türü için Platform tarafından yönetilen ve müşteri tarafından yönetilen anahtarlarla çift şifreleme'yi seçin.

   Not

   Belirli bir şifreleme türüne sahip bir disk şifreleme kümesi oluşturduktan sonra değiştirilemez. Farklı bir şifreleme türü kullanmak istiyorsanız, yeni bir disk şifreleme kümesi oluşturmanız gerekir.

6. Kalan bilgileri doldurun.

   

7. Bir Azure Key Vault ve anahtar seçin veya gerekirse yeni bir anahtar oluşturun.

   Not

   Bir Key Vault örneği oluşturursanız geçici silme ve temizleme korumasını etkinleştirmeniz gerekir. Yönetilen diskleri şifrelemek için Key Vault kullanılırken bu ayarlar zorunlu hale getirilir ve yanlışlıkla silme nedeniyle veri kaybına karşı korunursunuz.

   

8. Oluştur'u belirleyin.

9. Oluşturduğunuz disk şifreleme kümesine gidin ve görüntülenen hatayı seçin. Bu, disk şifreleme kümenizi çalışacak şekilde yapılandıracaktır.

   

   Bir bildirim açılır ve başarılı olur. Bunu yaptığınızda anahtar kasanızla disk şifreleme kümesini kullanabilirsiniz.

   

10. Diskinize gidin.

11. Şifreleme'yi seçin.

12. Anahtar yönetimi için Platform tarafından yönetilen ve müşteri tarafından yönetilen anahtarlar altındaki anahtarlardan birini seçin.

13. Kaydet'i seçin.

    

Artık yönetilen diskinizde bekleyen çift şifrelemeyi etkinleştirdiniz.

1. Azure Key Vault ve şifreleme anahtarının bir örneğini oluşturun.

   Key Vault örneğini oluştururken geçici silme ve temizleme korumasını etkinleştirmeniz gerekir. Geçici silme, Key Vault'un belirli bir saklama süresi (varsayılan olarak 90 gün) için silinmiş bir anahtar tutmasını sağlar. Temizleme koruması, silinen bir anahtarın saklama süresi atlayana kadar kalıcı olarak silinemesini sağlar. Bu ayarlar yanlışlıkla silme nedeniyle veri kaybına karşı sizi korur. Yönetilen diskleri şifrelemek için Key Vault kullanılırken bu ayarlar zorunlu hale getirilir.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. ile az keyvault key showoluşturduğunuz anahtarın anahtar URL'sini alın.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. EncryptionAtRestWithPlatformAndCustomerKeys olarak ayarlanmış encryptionType ile bir DiskEncryptionSet oluşturun. değerini, adresinden az keyvault key showaldığınız URL ile değiştirinyourKeyURL.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. DiskEncryptionSet kaynak erişimini anahtar kasasına verin.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

1. Azure Key Vault ve şifreleme anahtarının bir örneğini oluşturun.

   Key Vault örneğini oluştururken geçici silme ve temizleme korumasını etkinleştirmeniz gerekir. Geçici silme, Key Vault'un belirli bir saklama süresi (varsayılan olarak 90 gün) için silinmiş bir anahtar tutmasını sağlar. Temizleme koruması, silinen bir anahtarın saklama süresi atlayana kadar kalıcı olarak silinemesini sağlar. Bu ayarlar yanlışlıkla silme nedeniyle veri kaybına karşı sizi korur. Yönetilen diskleri şifrelemek için Key Vault kullanılırken bu ayarlar zorunlu hale getirilir.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Oluşturduğunuz anahtarın URL'sini alın; sonraki komutlar için buna ihtiyacınız olacaktır. Kimlik çıkışı Get-AzKeyVaultKey anahtar URL'dir.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Oluşturduğunuz Key Vault örneğinin kaynak kimliğini alın; sonraki komutlar için buna ihtiyacınız olacaktır.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. EncryptionAtRestWithPlatformAndCustomerKeys olarak ayarlanmış encryptionType ile bir DiskEncryptionSet oluşturun. ve yourKeyVaultURL değerini daha önce aldığınız URL'lerle değiştirinyourKeyURL.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. DiskEncryptionSet kaynak erişimini anahtar kasasına verin.

   Not

   Azure'ın Microsoft Entra kimliğinizde DiskEncryptionSet'inizin kimliğini oluşturması birkaç dakika sürebilir. Aşağıdaki komutu çalıştırırken "Active Directory nesnesi bulunamıyor" gibi bir hata alırsanız, birkaç dakika bekleyin ve yeniden deneyin.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get